Billede: Microsoft
Microsoft har i dag offentliggjort deres månedlige roll-up af sikkerhedsopdateringer, der er kendt som en Patch tirsdag. I denne måned, OS kaffefaciliteter har lappet 88 sårbarheder, hvoraf 21 har modtaget en rating af “Kritiske,” selskabets højeste sværhedsgrad placering.
Desuden Kan 2019 Patch tirsdag også inkluderet rettelser til fire af de fem nul-dage, at en sikkerhedsekspert og udnytte sælger ved navn SandboxEscaper offentliggjort online i løbet af den sidste måned.
Sikkerhedsopdateringer er tilgængelige for:
| BearLPE | CVE-2019-1069 | LPE udnytte i Windows Opgavestyring proces |
| SandboxEscape | CVE-2019-1053 | Sandkasse flygte til Internet Explorer 11 |
| CVE-2019-0841-BYPASS | CVE-2019-1064 | Bypass af CVE-2019-0841 patch |
| InstallerBypass | CVE-2019-0973 | LPE rettet mod Windows Installer |
Rettelser til en femte nul-dag var ikke klar til tiden, som SandboxEscaper offentliggjort oplysninger om denne fejl alene i sidste uge, fredag, 7 juni, forlader Microsoft ikke tid til at sætte sammen og teste en patch.
Den gode nyhed er, at på trods af detaljer og proof-of-concept demo-exploit-kode er tilgængelige for alle disse fire nul-dage, ingen af dem blev indarbejdet i malware kampagner.
Endvidere er alle 88 sårbarheder lappet i denne måned, ingen blev udnyttet i naturen, enten.
Andre vigtige rettelser
Men udover patches til Windows og Office-produkter, Microsoft har også udstedt en sikkerhedsmeddelelse om separat firmware-opdateringer til HoloLens enheder.
I denne måned, Microsoft patched fire fjernkørsel af programkode (RCE) fejl, der påvirker Broadcom wireless chipset inkluderet i Microsoft HoloLens enheder.
De fire RCEs er CVE-2019-9500, CVE-2019-9501, CVE-2019-9502, og CVE-2019-9503.
Og da RCEs er om det værre fejl omkring, vil vi også fremhæve, at Microsoft også lappet ni RCEs i Chakra Scripting Engine (inkluderet med Kant), fire RCEs i Microsoft script-Motor, tre RCEs i Microsoft Hyper-V hypervisor, en RCE i Microsoft Speech API, og en RCE hvilket påvirker både Kant og Internet Explorer.
Defekt BLE sikkerhed taster, der ikke fungerer længere
Sidst, men ikke mindst, har Microsoft også advaret om, at nogle Bluetooth-baseret sikkerhed nøgler ville stoppe med at arbejde på Windows efter installationen af dagens patches.
Mere specifikt, er Microsoft, der henviser til Feitian og Google Titan security keys, som indeholder en fejlkonfiguration i Bluetooth-parring protokoller, der gør det muligt for en hacker at interagere med nøglen.
“Microsoft har blokeret bindingen af disse Bluetooth Low Energy (BLE) taster med parring fejlkonfiguration,” OS kaffefaciliteter sagde.
Brugere af disse enheder rådes til at kigge ind anmode om en gratis udskiftning, som både Google og Feitian leverer gratis.
Yderligere info
Da de Microsoft-Patch tirsdag er også den dag, hvor andre leverandører også frigive sikkerhedsrettelser, er det også værd at nævne, at Adobe og SAP har også offentliggjort deres respektive sikkerhedsopdateringer tidligere i dag.
Mere dybdegående information om dagens Patch tirsdag opdateringer er tilgængelige på Microsoft ‘ s officielle sikkerhedsopdatering Guide portal. Du kan også kontakte den tabel, der er integreret nedenfor, eller denne Patch tirsdag rapport genereret af ZDNet.
| Servicering Stak Opdateringer | ADV990001 | Seneste Servicering Stak Opdateringer |
| Adobe Flash Player | ADV190015 | Juni 2019 Adobe Flash Sikkerhedsopdatering |
| Microsoft Enheder | ADV190016 | Bluetooth Low Energy Advisory |
| Microsoft Enheder | ADV190017 | Microsoft HoloLens Fjernkørsel Af Programkode Sårbarheder |
| Microsoft Exchange Server | ADV190018 | Microsoft Exchange Server Forsvar i Dybden Opdatering |
| Kerberos | CVE-2019-0972 | Local Security Authority Subsystem Service Denial-of-Service-Svaghed |
| Microsoft-Browsere | CVE-2019-1081 | Microsoft Browseren Offentliggørelse Af Oplysninger Sårbarhed |
| Microsoft-Browsere | CVE-2019-1038 | Microsoft Browseren Hukommelse Korruption Sårbarhed |
| Microsoft Kant | CVE-2019-1054 | Microsoft Kant Sikkerhedsfunktion Bypass Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1018 | DirectX Udvidelse af rettigheder Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1047 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1046 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1013 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1015 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1016 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1048 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-0977 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-0960 | Win32k Udvidelse af rettigheder Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-0968 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1049 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1050 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-0985 | Microsoft Speech API Fjernkørsel af Programkode Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1010 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1009 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1011 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft Grafik Komponent | CVE-2019-1012 | Windows GDI Offentliggørelse af Oplysninger Sårbarhed |
| Microsoft JET-databaseprogrammet | CVE-2019-0905 | Jet Database Engine Remote Code Execution Sårbarhed |
| Microsoft JET-databaseprogrammet | CVE-2019-0974 | Jet Database Engine Remote Code Execution Sårbarhed |
| Microsoft JET-databaseprogrammet | CVE-2019-0904 | Jet Database Engine Remote Code Execution Sårbarhed |
| Microsoft JET-databaseprogrammet | CVE-2019-0906 | Jet Database Engine Remote Code Execution Sårbarhed |
| Microsoft JET-databaseprogrammet | CVE-2019-0908 | Jet Database Engine Remote Code Execution Sårbarhed |
| Microsoft JET-databaseprogrammet | CVE-2019-0909 | Jet Database Engine Remote Code Execution Sårbarhed |
| Microsoft JET-databaseprogrammet | CVE-2019-0907 | Jet Database Engine Remote Code Execution Sårbarhed |
| Microsoft Office | CVE-2019-1035 | Microsoft Word Fjernkørsel Af Programkode Sårbarhed |
| Microsoft Office | CVE-2019-1034 | Microsoft Word Fjernkørsel Af Programkode Sårbarhed |
| Microsoft Office SharePoint | CVE-2019-1032 | Microsoft Office SharePoint XSS Sårbarhed |
| Microsoft Office SharePoint | CVE-2019-1036 | Microsoft Office SharePoint XSS Sårbarhed |
| Microsoft Office SharePoint | CVE-2019-1031 | Microsoft Office SharePoint XSS Sårbarhed |
| Microsoft Office SharePoint | CVE-2019-1033 | Microsoft Office SharePoint XSS Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-1002 | Chakra Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-0991 | Chakra Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-1080 | Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-1023 | Scripting Engine Offentliggørelse Af Oplysninger Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-0993 | Chakra Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-0992 | Chakra Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-1024 | Chakra Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-0990 | Scripting Engine Offentliggørelse Af Oplysninger Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-0988 | Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-0989 | Chakra Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-1055 | Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-1052 | Chakra Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-1051 | Chakra Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-0920 | Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Script-Motor, | CVE-2019-1003 | Chakra Scripting Engine Hukommelse Korruption Sårbarhed |
| Microsoft Windows | CVE-2019-1069 | Opgavestyring Udvidelse af rettigheder Sårbarhed |
| Microsoft Windows | CVE-2019-1064 | Windows Udvidelse af rettigheder Sårbarhed |
| Microsoft Windows | CVE-2019-0888 | ActiveX Data Objects (ADO) Fjernkørsel af Programkode Sårbarhed |
| Microsoft Windows | CVE-2019-1025 | Windows Denial-of-Service-Svaghed |
| Microsoft Windows | CVE-2019-1045 | Windows Network File System Udvidelse af rettigheder Sårbarhed |
| Microsoft Windows | CVE-2019-1043 | Comctl32 Fjernkørsel Af Programkode Sårbarhed |
| Microsoft Windows | CVE-2019-0710 | Windows Hyper-V Denial-of-Service-Svaghed |
| Microsoft Windows | CVE-2019-0709 | Windows Hyper-V Fjernkørsel Af Programkode Sårbarhed |
| Microsoft Windows | CVE-2019-0722 | Windows Hyper-V Fjernkørsel Af Programkode Sårbarhed |
| Microsoft Windows | CVE-2019-0943 | Windows ALPC Udvidelse af rettigheder Sårbarhed |
| Microsoft Windows | CVE-2019-0713 | Windows Hyper-V Denial-of-Service-Svaghed |
| Microsoft Windows | CVE-2019-0983 | Windows Storage Service Udvidelse af rettigheder Sårbarhed |
| Microsoft Windows | CVE-2019-0984 | Windows Common Log File System Driver Udvidelse af rettigheder Sårbarhed |
| Microsoft Windows | CVE-2019-0711 | Windows Hyper-V Denial-of-Service-Svaghed |
| Microsoft Windows | CVE-2019-0948 | Windows Event Viewer Offentliggørelse Af Oplysninger Sårbarhed |
| Microsoft Windows | CVE-2019-0959 | Windows Common Log File System Driver Udvidelse af rettigheder Sårbarhed |
| Microsoft Windows | CVE-2019-0998 | Windows Storage Service Udvidelse af rettigheder Sårbarhed |
| Skype til Business og Microsoft Lync | CVE-2019-1029 | Skype til Virksomheden og Lync Server Denial-of-Service-Svaghed |
| Team Foundation Server | CVE-2019-0996 | Azure DevOps Server Spoofing Sårbarhed |
| VBScript | CVE-2019-1005 | Scripting Engine Hukommelse Korruption Sårbarhed |
| Windows Authentication Metode | CVE-2019-1040 | Windows NTLM-Manipulation Sårbarhed |
| Windows Hyper-V | CVE-2019-0620 | Windows Hyper-V Fjernkørsel Af Programkode Sårbarhed |
| Windows IIS | CVE-2019-0941 | Microsoft IIS-Server, Denial-of-Service-Svaghed |
| Windows Installer | CVE-2019-0973 | Windows Installer Udvidelse af rettigheder Sårbarhed |
| Windows-Kernen | CVE-2019-1044 | Windows Secure Kernel Mode Sikkerhedsfunktion Bypass Sårbarhed |
| Windows-Kernen | CVE-2019-1014 | Win32k Udvidelse af rettigheder Sårbarhed |
| Windows-Kernen | CVE-2019-1017 | Win32k Udvidelse af rettigheder Sårbarhed |
| Windows-Kernen | CVE-2019-1065 | Windows-Kernen Udvidelse af rettigheder Sårbarhed |
| Windows-Kernen | CVE-2019-1041 | Windows-Kernen Udvidelse af rettigheder Sårbarhed |
| Windows-Kernen | CVE-2019-1039 | Windows-Kernen Offentliggørelse Af Oplysninger Sårbarhed |
| Windows Media | CVE-2019-1026 | Windows Audio Service Udvidelse af rettigheder Sårbarhed |
| Windows Media | CVE-2019-1007 | Windows Audio Service Udvidelse af rettigheder Sårbarhed |
| Windows Media | CVE-2019-1027 | Windows Audio Service Udvidelse af rettigheder Sårbarhed |
| Windows Media | CVE-2019-1022 | Windows Audio Service Udvidelse af rettigheder Sårbarhed |
| Windows Media | CVE-2019-1021 | Windows Audio Service Udvidelse af rettigheder Sårbarhed |
| Windows Media | CVE-2019-1028 | Windows Audio Service Udvidelse af rettigheder Sårbarhed |
| Windows NTLM | CVE-2019-1019 | Microsoft Windows Sikkerhed Funktion Bypass Sårbarhed |
| Windows Shell | CVE-2019-0986 | Windows-brugerprofil Service Udvidelse af rettigheder Sårbarhed |
| Windows Shell | CVE-2019-1053 | Windows Shell Udvidelse af rettigheder Sårbarhed |
Mere sårbarhed rapporter:
Nye RCE sårbarhed virkninger næsten halvdelen af internet-e-mail serversDiebold Nixdorf advarer kunder af RCE fejl i ældre Pengeautomater
Windows 10 nul-dag oplysninger, der offentliggøres på GitHubMajor HSM sårbarheder indvirkning banker, cloud-leverandører, regeringer’RAMBleed’ Rowhammer angreb kan nu stjæle data, ikke bare ændre itRemote angribe fejl, der er fundet i IPTV-streaming serviceKRACK angreb: Her er hvordan virksomheder reagerer CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre